CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES »

jueves, 31 de julio de 2008

Introducción a OU (Organizational Unit)

Un tipo de objeto de directorio especialmente útil contenido en los dominios es la OU (unidad organizativa). Las OU son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una OU no puede contener objetos de otros dominios.

Una OU es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las OU, puede crear contenedores dentro de un dominio que representen las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos en función de su modelo organizativo.


Las OU pueden contener otras OU. La jerarquía de contenedores se puede extender tanto como sea necesario para modelar la jerarquía de la organización dentro de un dominio. Las unidades organizativas le ayudarán a disminuir el número de dominios requeridos para una red.


Puede utilizar OU para crear un modelo administrativo que se puede ampliar a cualquier tamaño. A un usuario se le puede conceder autoridad administrativa sobre todas las unidades organizativas de un dominio o sobre una sola de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio.


¿Cómo crear un OU Procedimiento?

Este procedimiento crea una unidad organizativa adicional en el dominio. Tenga en cuenta que se pueden crear unidades organizativas anidadas, y que no hay límite de niveles de anidación.

Estos pasos se basan en la estructura de Active Directory establecida en las guías detalladas de infraestructura común.

1. Haga clic en el botón Inicio, seleccione Herramientas administrativas, haga clic en Usuarios y equipos de Active Directory y expanda el nombre del dominio.

2. Haga clic con el botón secundario del mouse en el nombre del dominio.

3. Seleccione Nuevo y haga clic en Unidad organizativa. Escriba el nombre para la nueva OU (por ejemplo, empresa) y, a continuación, haga clic en Aceptar.

4. Repita los pasos anteriores para crear otras unidades organizativas, como las siguientes:

· OU Ingeniería bajo Empresa.

· OU Fabricación bajo Empresa.

· OU Consumidor bajo la unidad organizativa Fabricación (para ello, haga clic con el botón secundario del mouse en Fabricación, seleccione Nuevo y, a continuación, haga clic en OU).

· OU Empresa y Gobierno bajo la unidad organizativa Fabricación. Haga clic en Fabricación para que su contenido se muestre en el panel de la derecha.

OPERACIONES DE ROLES MAESTROS

Las operaciones que utilizan single master replication van junto a roles específicos en el forest o el domain. Estos roles se llaman operations master roles. Para cada operations master role, solamente el domain controller que tiene el rol puede realizar los cambios asociados del directorio. El domain controller que es responsable de un rol en particular se llama operations master para ese rol. Active Directory almacena la información acerca de qué domain controller cumple un rol específico.

Active Directory define cinco operations master roles, cada uno de los cuales tiene una localización por defecto.
Operations master roles son a nivel forest o nivel domain.

Roles Forest-wide. Únicos en el forest, los roles forest-wide son:

· Schema master. Controla todas las actualizaciones al schema. El schema contiene la definición de clases de objetos y atributos que se utilizan para crear todos los objetos de Active Directory, como usuarios, computadoras e impresoras.

· Domain naming master. Controla la adición o el retiro de domains en el forest. Cuando usted agrega un nuevo domain al forest, solamente el domain controller que tiene el rol domain naming master puede agregar el nuevo domain.

Hay solamente un schema master y un domain naming master por forest.

Roles Domain-wide. Único a cada domain en el forest, los roles domain-wide son:

· Primary domain controller emulator (PDC). Actúa como un PDC Windows NT para soportar a los backup domain controllers (BDCs) corriendo Microsoft Windows® NT en domains en modo mixto. Este tipo de domain tiene domain controllers corriendo Windows NT 4.0. El PDC emulator es el primer domain controller que usted crea en un nuevo domain.

· Relative identifier master. Cuando se crea un nuevo objeto, el domain controller crea un nuevo security principal. Eso representa al objeto y asigna al objeto un unique security identifier (SID). El SID consiste en un domain SID, el cual es igual para todos los security principals creados en el domain, y un relative identifier (RID), el cual es único para cada security principal creado en el domain. El RID master asigna bloques de RIDs a cada domain controller en el domain. El domain controller, entonces, asigna el RID a los objetos que se crean del bloque asignado de RIDs.

· Infrastructure master. Cuando los objetos se mueven de un domain a otro, el infrastructure master actualiza las referencias al objeto en ese domain y la referencia al objeto en el otro dominio. La referencia del objeto contiene el object globally unique identifier (GUID), distinguished name, y el SID. Active Directory actualiza periódicamente el distinguished name y el SID en la referencia del objeto para reflejar los cambios realizados al objeto real; por ejemplo, movimientos en y entre domains y la eliminación del objeto.

Cada domain en el forest tiene sus propios PDC emulator, RID master e infrastructure master.

Requisitos para instalar Active Directory

Antes de instalar Active Directory, usted debe asegurarse de que la computadora que debe ser configurada como domain controller cumple con los requisitos de hardware y del sistema operativo. Además, el domain controller debe tener acceso al DNS Server que cumpla con ciertos requisitos para soportar la integración con Active Directory.

La lista siguiente identifica los requisitos para la instalación de Active Directory:

· Una computadora corriendo Microsoft® Windows® Server 2003 Standard Edition, Enterprise Edition o Datacenter Edition. Windows Server 2003 Web Edition no soporta Active Directory.

· Un mínimo de 250 megabytes (MB) de espacio en disco, 200 MB para la base de datos de Active Directory y 50 MB para logs de transacciones de Active Directory. Los requisitos del tamaño del archivo para la base de Active Directory y los archivos log dependen del número y del tipo de objetos en el domain. Se requiere espacio de disco adicional si el domain controller también es global catalog server.

· Una partición o un volumen con formato NTFS con sistema de archivos. La partición NTFS se requiere para la carpeta SYSVOL.

· Los privilegios administrativos necesarios para crear un domain si usted está creando uno en una red existente Windows Server 2003.

· TCP/IP instalado y configurado para utilizar DNS.

· Un DNS Server autoritativo para el DNS domain y soporte para los siguientes requisitos.

· SRV resource records (Mandatory) y Service locator resource (SRV) son registros DNS que identifican los servicios específicos que ofrecen las computadoras en una red Windows Server 2003. El DNS server que soporta la instalación de Active Directory necesita soporte de SRV resource records. Si no, usted debe configurar el DNS localmente durante la instalación de Active Directory o configurar el DNS manualmente después de la instalación de Active Directory.

· Dynamic updates (opcional). Microsoft recomienda que los servidores DNS también soporten actualizaciones dinámicas. El protocolo dinámico de actualización permite a los servidores y a los clientes en un ambiente DNS agregar y actualizar la base de datos del DNS automáticamente, lo cual reduce esfuerzos administrativos. Si usted utiliza software DNS que soporta SRV resource records pero no soporta el protocolo dinámico de actualización, debe ingresar los SRV resource records manualmente en la base DNS.

· Incremental zone transfers (opcional). En una transferencia incremental de zona, los cambios realizados a una zona en el master DNS Server deben ser replicados a los DNS Servers secundarios de esa zona. Las transferencias incrementales de la zona son opcionales, pero se recomiendan porque ahorran ancho de banda de la red replicando solamente los registros nuevos o modificados entre los DNS Servers, en vez del archivo de base de datos entero de la zona.

Sitios y servicios de Active Directory

Sitios y servicios de Active Directory es un complemento de Microsoft Management Console (MMC) que se utiliza para crear y administrar los sitios que constituyen una red de Microsoft Windows 2000 y para establecer vínculos entre los sitios. Un sitio se define como un grupo de equipos de una o varias subredes de protocolo de Internet (Internet Protocol, IP) que están bien conectadas. Una subred es una red que forma parte de otra red de mayor tamaño.

Bien conectadas significa que los sistemas comparten un transporte de red que proporciona comunicaciones de bajo coste y gran velocidad entre las máquinas y, generalmente, hace referencia a sistemas de una misma ubicación que están conectados mediante LAN. Los sistemas que no están bien conectados son los que utilizan comunicaciones relativamente lentas y caras. Active Directory consta de uno o varios sitios, pero los sitios no forman parte de los espacios de nombres con los que se trabaja al crear la jerarquía de Active Directory.

Los sitios no aparecen como objetos en el espacio de nombres de Active Directory; se hallan apartados completamente de la jerarquía de bosques, árboles y dominios. Un sitio puede contener objetos de diferentes dominios, y los objetos de un dominio pueden estar repartidos entre sitios diferentes. La razón fundamental para dividir la red de una empresa en varios sitios es aprovechar las comunicaciones eficientes entre los sistemas bien conectados y regular el tráfico con las conexiones más lentas y caras. Más concretamente, Active Directory utiliza los sitios durante la autenticación y la réplica.

Autentificación: Cuando un usuario inicia una sesión en la red desde una estación de trabajo, el sistema lo autentifica siempre que sea posible con un controlador de dominio ubicado en el mismo sitio. Esto acelera el proceso de autentificación y ayuda a reducir el tráfico WAN.

Réplica: Las actividades de réplica de los controladores de dominios que deben atravesar los limites de los sitios están sometidas a condiciones especiales debido a la necesidad de utilizar las conexiones WAN.

Los sitios de Active Directory están asociados a subredes IP concretas utilizadas por la red. Durante el proceso de autentificación, la estación de trabajo transmite información acerca de la subred en la que reside. Los controladores de dominios utilizan esta información para hallar los servidores de Active Directory de la misma subred que la estación de trabajo.

El uso de sitios durante la réplica es algo más complejo. Cuando dos controladores de dominios se hallan en el mismo sitio, la réplica se realiza con toda la velocidad de la LAN, generalmente, de 10 a 100 Mbps. Por otro lado, es probable que dos controladores de dominios situados en edificios o en ciudades diferentes estén conectados mediante tecnología WAN, que es mucho más lenta y, también, mucho más cara que la tecnología LAN. Por tanto, maximizar la eficacia de las comunicaciones entre los sitios suele ser cuestión del momento y de la frecuencia de las réplicas que utilizan los vínculos WAN.

Dominios y confianzas de Active Directory

Dominios y confianzas de Active Directory ayuda a administrar las relaciones de confianza entre dominios. Estos dominios pueden ser de Windows 2000 en el mismo bosque, dominios de Windows 2000 en bosques diferentes, dominios de sistemas operativos anteriores a Windows 2000 e, incluso, territorios de Kerberos V5.

Con Dominios y confianzas de Active Directory se puede:
Proporcionar interoperabilidad con otros dominios, tales como dominios de sistemas operativos anteriores a Windows 2000 y dominios de otros bosques de Windows 2000, mediante la administración de las confianzas.
Cambiar el modo de funcionamiento de un dominio de Windows 2000 del modo mixto al modo nativo.
Agregar y quitar sufijos UPN alternativos usados para crear nombres de inicio de sesión de usuario.
Transferir la función maestro de operaciones de nombres de dominio de un controlador de dominio a otro.

Active Directory es el servicio de directorio utilizado en Windows 2000 Server. Constituye la base de las redes distribuidas de Windows 2000. Puede utilizar Dominios y confianzas de Active Directory para administrar confianzas de dominios, modos y sufijos de nombres principales de usuarios.